Partnerzy serwisu:
Biznes

Webinar EXATEL na temat dyrektywy NIS2 - część II

Dalej Wstecz
Partnerzy działu

EIB
Kolster
Elester
LTG Cargo
Harting

Data publikacji:
18-03-2024
Ostatnia modyfikacja:
19-03-2024
Tagi:
Tagi geolokalizacji:
Źródło:
Łukasz Bonczek Dyrektor Biura Analiz i Rozwoju Biznesu EXATEL S.A.

Podziel się ze znajomymi:

BIZNES
Webinar EXATEL na temat dyrektywy NIS2 - część II
fot. EXATEL
Zapraszamy na webinar EXATEL, podczas którego nasz prelegent, Łukasz Bonczek Dyrektor Biura Analiz i Rozwoju Biznesu w EXATEL, omówi kluczowe aspekty związane z dyrektywą NIS2, w tym jej definicję, zakres regulacji, istotne podmioty oraz obowiązki wynikające z nowych przepisów. To  okazja do zrozumienia, jakie zmiany niesie ze sobą NIS2 i jakie mają one implikacje dla przedsiębiorców. Publikujemy część II tekstu prelegenta zapowiadającego webinar.

NIS 2 | EXATEL | Self-Defined Network

Łukasz Bonczek Dyrektor Biura Analiz i Rozwoju Biznesu EXATEL S.A.:

Obowiązki związane z dyrektywą NIS2
Część II


Dyrektywa NIS2 wprowadza prawie takie same obowiązki dla podmiotów kluczowych i ważnych. Powinny one jednak uwzględniać specyfikę konkretnej organizacji. Zgodnie z art. 21 ust. 1 dyrektywy, podmioty kluczowe i ważne wprowadzają odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne. Celem wprowadzenia tych środków jest zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych
wykorzystywanych przez te podmioty oraz zapobieganie wpływowi incydentów na odbiorców usług tych podmiotów lub na inne usługi.

Wprowadzane środki powinny uwzględniać najnowszy stan wiedzy, odpowiednie normy europejskie i międzynarodowe, a także koszty ich wdrożenia. Ustawodawca unijny wskazuje także co należy brać pod uwagę, oceniając odpowiedzialność tych środków. Robiąc to należy uwzględniać stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia w nim incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.

W dyrektywie wskazany został minimalny zakres środków, które podejmować musi każda organizacja. Obejmuje on co najmniej następujące elementy:

a) politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
b) obsługę incydentu;
c) ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
g) podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h) polityki i procedury stosowania kryptografii i w stosownych przypadkach, szyfrowania;
i) bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
j) w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Dyrektywa wprowadza odpowiedzialność organów zarządzających podmiotu za wprowadzenie odpowiednich środków. Co prawda określenie, za kogo uważa się organy zarządzające, nie jest doprecyzowane w samej dyrektywie, ale zostanie to zapewne skonkretyzowane w projekcie regulacji krajowej. Środki zarządzania ryzykiem w cyberbezpieczeństwie mają być zatwierdzane przez organy zarządzające podmiotu. Żeby prawidłowo realizować te obowiązki, organy te zobligowane zostały do odbywania regularnych szkoleń. Państwa członkowskie UE powinny również zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń swoim pracownikom.

Podmioty dobierając do zastosowania konkretne środki powinny uwzględniać podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.

Zgodnie z art. 24 dyrektywy NIS2, państwa członkowskie UE, w celu wykazania zgodności opisanych powyżej środków zarządzania ryzykiem w cyberbezpieczeństwie z wymogami prawnymi, będą mogły
wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, usług i procesów ICT certyfikowanych zgodnie z europejskimi programami' certyfikacji cyberbezpieczeństwa. Komisja Europejska będzie z kolei uprawniona do określenia, od których kategorii podmiotów należy wymagać stosowania certyfikowanych produktów, usług i procesów ICT.

Artykuł 25 ust. 1 dyrektywy NIS2 stanowi, że aby wspierać spójne wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie, państwa członkowskie, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, zachęcają do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych z punktu widzenia bezpieczeństwa sieci i systemów informatycznych. Normami, które znajdą tu zapewne zastosowanie, są normy z serii ISO/IEC 27000, jak również standard NIST SP 800-53.

Istotnym novum w dyrektywie NIS2 są regulacje dotyczące bezpieczeństwa łańcucha dostaw. Dotychczas kwestie te nie podlegały szczegółowej regulacji. Tymczasem już w motywie 85 do dyrektywy NIS2 mowa o tym, że podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług oraz środków zarządzania ryzykiem w cyberbezpieczeństwie stanowiący ich część, a także praktyki dotyczące
cyberbezpieczeństwa stosowane przez dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty kluczowe i ważne mają być zachęcane do włączania środków zarządzania ryzykiem w cyberbezpieczeństwie do ustaleń umownych z bezpośrednimi dostawcami i usługodawcami. Podmioty te powinny też rozważyć ryzyko pochodzące od dostawców i usługodawców z innych poziomów. Brzmienie tego motywu, w połączeniu z art. 21 ust. 2 lit d dotyczących konieczności uwzględnienia w stosowanych przez podmiot środkach bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami mogą wywrzeć znaczny wpływ na cały rynek. Za pośrednictwem tych przepisów, przy ich umiejętnej transpozycji do krajowego porządku prawnego, dojdzie do efektu śnieżnej kuli i rozlewania się wymogów dotyczących cyberbezpieczeństwa na kolejnych podwykonawców oraz dostawców. Regulacje te uzupełnione są dodatkowo w art. 22 dyrektywy, zgodnie z którym Grupa Współpracy we współpracy z Komisją i ENISA może przeprowadzać skoordynowane szacowanie ryzyka dla bezpieczeństwa określonych krytycznych łańcuchów dostaw usług ICT, systemów ICT lub produktów ICT, z uwzględnieniem technicznych i w stosownych przypadkach, pozatechnicznych czynników ryzyka. Po konsultacji z Grupą Współpracy i ENISA oraz w razie potrzeby z odpowiednimi zainteresowanymi stronami Komisja wskazuje konkretne krytyczne usługi ICT, systemy ICT lub produkty ICT, które można poddać skoordynowanemu oszacowaniu ryzyka dla bezpieczeństwa. Mechanizm ten ma wpłynąć na wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej.

Niestosowanie się do skoordynowanego szacowanie bezpieczeństwa ryzyka dostaw będzie naruszeniem postanowień dyrektywy i jako takie podlegać będzie karom administracyjnym.
Partnerzy działu

EIB
Kolster
Elester
LTG Cargo
Harting

Tagi:
Tagi geolokalizacji:

Podziel się z innymi:

Zobacz również:

EXATEL: Czy zarządzanie procesowo-proceduralne może być kluczem do efektywności i sukcesu?

Biznes

EXATEL: Czy zarządzanie procesowo-proceduralne może być kluczem do efektywności i sukcesu?

Kamil Lunda, Specjalista ds. Bezpieczeństwa Proceduralnego w Departamencie Cyberbezpieczeństwa, EXATEL 30 listopada 2023

160 km/h z jednym maszynistą - mamy potwierdzenie i termin

Prawo i polityka

Dlaczego firmom potrzebna jest sieć prywatna?

Biznes

Dlaczego firmom potrzebna jest sieć prywatna?

informacja prasowa Exatel 29 września 2023

EXATEL: Jak bronić się przed atakami DDoS?

Biznes

EXATEL: Jak bronić się przed atakami DDoS?

informacja prasowa EXATEL 11 września 2023

Czyżew: Zakończenie modernizacji stacji jeszcze w tym roku

Infrastruktura

Noc parówek w Warszawie, czyli święto tramwajów 13N

Tabor i technika

Zobacz również:

EXATEL: Czy zarządzanie procesowo-proceduralne może być kluczem do efektywności i sukcesu?

Biznes

EXATEL: Czy zarządzanie procesowo-proceduralne może być kluczem do efektywności i sukcesu?

Kamil Lunda, Specjalista ds. Bezpieczeństwa Proceduralnego w Departamencie Cyberbezpieczeństwa, EXATEL 30 listopada 2023

160 km/h z jednym maszynistą - mamy potwierdzenie i termin

Prawo i polityka

Dlaczego firmom potrzebna jest sieć prywatna?

Biznes

Dlaczego firmom potrzebna jest sieć prywatna?

informacja prasowa Exatel 29 września 2023

EXATEL: Jak bronić się przed atakami DDoS?

Biznes

EXATEL: Jak bronić się przed atakami DDoS?

informacja prasowa EXATEL 11 września 2023

Czyżew: Zakończenie modernizacji stacji jeszcze w tym roku

Infrastruktura

Noc parówek w Warszawie, czyli święto tramwajów 13N

Tabor i technika

Kongresy
Konferencje
SZKOLENIE ON-LINE
Śledź nasze wiadomości:
Zapisz się do newslettera:
Podanie adresu e-mail oraz wciśnięcie ‘OK’ jest równoznaczne z wyrażeniem zgody na:
  • przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa na podany adres e-mail newsletterów zawierających informacje branżowe, marketingowe oraz handlowe.
  • przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa (dalej: TOR), na podany adres e-mail informacji handlowych pochodzących od innych niż TOR podmiotów.
Podanie adresu email oraz wyrażenie zgody jest całkowicie dobrowolne. Podającemu przysługuje prawo do wglądu w swoje dane osobowe przetwarzane przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa oraz ich poprawiania.
Współpraca:
Transport Publiczny
Rynek Lotniczy
Rynek Infrastruktury
TOR Konferencje
ZDG TOR
ZDG TOR
© ZDG TOR Sp. z o.o. | Powered by BM5